JP2016218606A - Log management method and log management system - Google Patents

Log management method and log management system Download PDF

Info

Publication number
JP2016218606A
JP2016218606A JP2015100922A JP2015100922A JP2016218606A JP 2016218606 A JP2016218606 A JP 2016218606A JP 2015100922 A JP2015100922 A JP 2015100922A JP 2015100922 A JP2015100922 A JP 2015100922A JP 2016218606 A JP2016218606 A JP 2016218606A
Authority
JP
Japan
Prior art keywords
log
program
file
white list
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015100922A
Other languages
Japanese (ja)
Other versions
JP6386415B2 (en
Inventor
明夫 向山
Akio Mukoyama
明夫 向山
剛 永吉
Takeshi Nagayoshi
剛 永吉
敏浩 元田
Toshihiro Motoda
敏浩 元田
直人 藤木
Naoto Fujiki
直人 藤木
慎也 高田
Shinya Takada
慎也 高田
格 竹内
Kaku Takeuchi
格 竹内
裕一 片山
Yuichi Katayama
裕一 片山
秀樹 五郎丸
Hideki Goromaru
秀樹 五郎丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015100922A priority Critical patent/JP6386415B2/en
Publication of JP2016218606A publication Critical patent/JP2016218606A/en
Application granted granted Critical
Publication of JP6386415B2 publication Critical patent/JP6386415B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a log management method and a log management system reducing the amount of a log while acquiring a log for a file operation carried out by an off-the-task program on a terminal used for a routine task as a log acquirement object.SOLUTION: An execution program included in a first log which is a log associated with an action of a program used in a task among logs regarding file operations of a client 10 acquired from an actual environment is set in a white list 15, and the log regarding the execution program or regarding a combination of the execution program and a storage area for the file set in the white list 15 among the logs regarding the file operations in the client 10 used in a routine task is excluded from output.SELECTED DRAWING: Figure 1

Description

本発明は、ログ管理方法、および、ログ管理システムに関する。   The present invention relates to a log management method and a log management system.

近年、インターネットやUSB(Universal Serial Bus)メモリ等を経由して、業務で使用するプログラム(業務プログラム)だけでなく業務で利用しないプログラム(業務外プログラム)を端末等で実行する機会が増えている。業務外プログラムの悪質なものとしてはマルウェアが存在し、端末から外部へ情報を送信する等、情報漏えいを引き起こす原因となっている。そのため、業務外プログラムが行った処理を確認する技術が必要となっている。   In recent years, there are increasing opportunities to execute not only business programs (business programs) but also business programs (non-business programs) on terminals, etc., via the Internet or USB (Universal Serial Bus) memory. . Malware exists as a malicious program outside the business, causing information leakage such as sending information from the terminal to the outside. Therefore, a technique for confirming the processing performed by the non-business program is necessary.

業務外プログラムが行った処理を確認する方法として、ファイル操作に関するログを取得し確認する方法がある。例えば、Process Monitor(非特許文献1参照)等のファイル操作を確認する技術を利用することで未知のプログラムや人が行ったファイル操作に関するログを確認することができる。   As a method for confirming the processing performed by the non-business program, there is a method for obtaining and confirming a log related to file operation. For example, a log relating to an unknown program or a file operation performed by a person can be confirmed by using a technique for confirming a file operation such as Process Monitor (see Non-Patent Document 1).

Process Monitor、[平成27年4月10日検索]、インターネット<URL:https://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx>Process Monitor, [April 10, 2015 search], Internet <URL: https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx>

しかし、上記の技術により業務外プログラムが行った処理に関するログを確認できるようにするためには、業務外プログラムを判別できないため、すべてのプログラムのファイル操作ログを取得する必要があり、ログの量が膨大になるという問題がある。そこで、定型業務で利用する端末を対象とすることで業務外プログラムを判別できるようにして、業務外プログラムのファイル操作ログだけを取得しつつ、取得するログの量を低減することを課題として、本発明ではこの課題を解決する。   However, in order to be able to check logs related to processing performed by non-business programs using the above technology, it is necessary to obtain file operation logs for all programs because the non-business programs cannot be identified. There is a problem that becomes enormous. Therefore, by making it possible to identify non-business programs by targeting terminals used in routine work, while acquiring only the file operation log of non-work programs, the problem is to reduce the amount of logs to be acquired, The present invention solves this problem.

前記した課題を解決するため、本発明は、定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力するログ管理方法であって、前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とする。   In order to solve the above-described problem, the present invention relates to an execution program set in a white list, or a combination of the execution program and a file storage area, among logs related to file operations in a terminal used in a routine job. A log management method for outputting a log excluding a log, wherein the execution program set in the white list is associated with an operation of a program used in business among logs related to file operations of the terminal acquired from a real environment. It is an execution program included in the first log which is a log.

本発明によれば、定型業務で利用する端末をログ取得対象として、業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。   ADVANTAGE OF THE INVENTION According to this invention, the amount of logs can be reduced, acquiring the log of the file operation which the non-business program performed by making into a log acquisition object the terminal utilized by a routine work.

図1は、第1の実施形態のシステムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a system according to the first embodiment. 図2は、図1のホワイトリストの一例を示す図である。FIG. 2 is a diagram illustrating an example of the white list of FIG. 図3は、図1のファイル操作イベントを表すログの一例を示す図である。FIG. 3 is a diagram illustrating an example of a log representing the file operation event of FIG. 図4は、第1の実施形態におけるログ種別を示す図である。FIG. 4 is a diagram illustrating log types in the first embodiment. 図5は、第2の実施形態におけるログ種別を示す図である。FIG. 5 is a diagram illustrating log types according to the second embodiment. 図6は、第3の実施形態におけるログ種別を示す図である。FIG. 6 is a diagram illustrating log types according to the third embodiment. 図7は、第3の実施形態におけるログ種別を示す図である。FIG. 7 is a diagram illustrating log types according to the third embodiment. 図8は、第4の実施形態のシステムの構成例を示す図である。FIG. 8 is a diagram illustrating a configuration example of a system according to the fourth embodiment. 図9は、ログ管理プログラムを実行するコンピュータを示す図である。FIG. 9 is a diagram illustrating a computer that executes a log management program.

以下、図面を参照しながら、本発明を実施するための形態(実施形態)を第1の実施形態〜第4の実施形態に分けて説明する。本発明は、各実施形態に限定されない。   Hereinafter, embodiments (embodiments) for carrying out the present invention will be described by dividing them into first to fourth embodiments with reference to the drawings. The present invention is not limited to each embodiment.

(第1の実施形態)
まず、第1の実施形態のシステム(ログ管理システム)の全体構成を説明する。例えば、図1に示すようにシステムは、クライアント10と、サーバ20とを備える。クライアント(端末)10は、定型業務を行う端末であり、例えば、クライアント10内の実行プログラム12により様々な処理を実行し、その処理内容(例えば、ファイル操作等のイベント)を表すログ(以下、適宜「ログ」と略す)のうち、ホワイトリスト15に合致するログを除外してサーバ20へ出力する。サーバ20は、クライアント10から取得したログを保存部22に記憶する。 (First embodiment)
First, the overall configuration of the system (log management system) of the first embodiment will be described. For example, as shown in FIG. 1, the system includes a client 10 and a server 20. The client (terminal) 10 is a terminal that performs routine work, and for example, executes various processes by the execution program 12 in the client 10 and logs the processing contents (for example, events such as file operations) (hereinafter referred to as events). Of these, the logs that match the white list 15 are excluded and output to the server 20. The server 20 stores the log acquired from the client 10 in the storage unit 22.

クライアント10は、データファイル11と、実行プログラム12と、監視ドライバ13と、エージェント14と、ホワイトリスト15とを備える。データファイル11は、実行プログラム12による実行対象ファイルであり、クライアント10の記憶部(図示省略)に記憶される。実行プログラム12は、クライアント10にインストールされ、実行されるプログラムであり、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラム、ウイルスバスター(登録商標)等のウイルススキャンプログラム等である。   The client 10 includes a data file 11, an execution program 12, a monitoring driver 13, an agent 14, and a white list 15. The data file 11 is a file to be executed by the execution program 12 and is stored in a storage unit (not shown) of the client 10. The execution program 12 is a program that is installed and executed on the client 10, and is an office (registered trademark) program such as WORD (registered trademark), a browser program such as Internet Explorer (registered trademark), or a virus buster (registered trademark). Such as a virus scanning program.

監視ドライバ13は、実行プログラム12(以下、適宜「プログラム」と略す)によるデータファイル11のファイルI/Oを監視し、その監視結果をログとしてエージェント14に出力する。   The monitoring driver 13 monitors the file I / O of the data file 11 by the execution program 12 (hereinafter abbreviated as “program” as appropriate), and outputs the monitoring result to the agent 14 as a log.

エージェント14は、ホワイトリスト15に示される内容(実行プログラム情報、ファイルの記憶領域等)を除外フィルタに設定し、監視ドライバ13により出力されたログのうち、ホワイトリスト15に示される内容(条件)に合致するログを除外してサーバ20へ出力する。例えば、エージェント14は、監視ドライバ13により出力されたログのうちホワイトリスト15に設定されていないファイル操作イベントを表すログをサーバ20へ出力する。   The agent 14 sets the contents (execution program information, file storage area, etc.) shown in the white list 15 in the exclusion filter, and the contents (conditions) shown in the white list 15 among the logs output by the monitoring driver 13. Are output to the server 20 by excluding logs that match. For example, the agent 14 outputs a log representing a file operation event that is not set in the white list 15 among the logs output by the monitoring driver 13 to the server 20.

ホワイトリスト15は、エージェント14がどのようなログを取得対象から除外すべきかを示したリストである。このホワイトリスト15には、例えば、図2に示すように、除外対象とする実行プログラム情報(例えば、除外対象外とする実行プログラムの名称や識別子等)と、実行プログラムがI/Oの対象とするファイルの記憶領域との組み合わせが設定される。ホワイトリスト15の詳細は後記する。   The white list 15 is a list indicating what logs the agent 14 should exclude from the acquisition target. In the white list 15, for example, as shown in FIG. 2, the execution program information to be excluded (for example, the names and identifiers of execution programs to be excluded), and the execution program is an I / O target. A combination with the storage area of the file to be set is set. Details of the white list 15 will be described later.

サーバ20は、受信部21と、保存部22とを備える。受信部21は、クライアント10から出力されたログを受信すると、このログを保存部22に登録する。例えば、受信部21は、クライアント10から出力されたファイル操作イベントを表すログを保存部22に登録する。保存部22は、クライアント10から出力されたログ(例えば、ファイル操作イベントを表すログ)を記憶する。   The server 20 includes a receiving unit 21 and a storage unit 22. When receiving the log output from the client 10, the receiving unit 21 registers this log in the storage unit 22. For example, the reception unit 21 registers a log representing a file operation event output from the client 10 in the storage unit 22. The storage unit 22 stores a log (for example, a log representing a file operation event) output from the client 10.

なお、ファイル操作イベントを表すログ(ファイル操作イベントログ)は、例えば、図3に示すようにイベント発生時刻、ファイル操作したプログラムの名前、ファイル操作したプログラムのID、ファイル操作したプログラムのハッシュ値、操作の種類、操作対象のファイルの名前、操作対象のファイルのパス等を示した情報である。   Note that a log representing a file operation event (file operation event log) includes, for example, as shown in FIG. 3, the event occurrence time, the name of the file operated program, the ID of the file operated program, the hash value of the file operated program, This is information indicating the type of operation, the name of the operation target file, the path of the operation target file, and the like.

(ホワイトリストの詳細)
ホワイトリスト15には、実環境のクライアント10から取得したファイル操作に関するログのうち、業務で使用されるプログラム(業務プログラム)の動作に伴うログに含まれる実行プログラム(実行プログラム情報)が設定される。例えば、システムの管理者等は、実環境のクライアント10から取得したファイル操作イベントログをログ種別1(業務プログラムのログ)と、ログ種別2(業務外プログラムのログ)とに分け、ログ種別1のログ(第一のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図4参照)。なお、業務プログラムの動作に伴うログは、例えば、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラムや、ウイルスバスター(登録商標)等のウイルススキャンプログラム等の動作に伴うログである。また、ホワイトリスト15に設定される実行プログラム情報(図2参照)は、例えば、業務プログラムのファイル操作イベントを表すログ(図3参照)に含まれるファイル操作したプログラムの名前等を用いる。 (Details of whitelist)
In the white list 15, an execution program (execution program information) included in the log associated with the operation of the program (business program) used in the business among the logs related to file operations acquired from the client 10 in the real environment is set. . For example, the system administrator or the like divides the file operation event log acquired from the client 10 in the real environment into log type 1 (business program log) and log type 2 (non-business program log). The execution program (execution program information) included in the log (first log) is extracted and set in the white list 15 (see FIG. 4). The log associated with the operation of the business program is, for example, an office (registered trademark) program such as WORD (registered trademark), a browser program such as Internet Explorer (registered trademark), or a virus scan such as Virus Buster (registered trademark). This is a log accompanying the operation of the program. The execution program information (see FIG. 2) set in the white list 15 uses, for example, the name of the file-operated program included in the log (see FIG. 3) representing the file operation event of the business program.

クライアント10が上記のようにして設定されたホワイトリスト15を用いることにより、監視ドライバ13により出力されたログのうち、業務プログラムの動作に伴うログを除外してサーバ20へ出力することができる。つまり、クライアント10は、実行プログラム12のうち業務外プログラムの動作に伴うログをサーバ20に出力することができる。これによりシステムは、定型業務で利用するクライアント10をログ取得対象として、業務外プログラムが行ったログを取得しつつ、ログの量を低減することができる。   By using the white list 15 set as described above by the client 10, the log associated with the operation of the business program among the logs output by the monitoring driver 13 can be excluded and output to the server 20. That is, the client 10 can output a log associated with the operation of the non-business program in the execution program 12 to the server 20. As a result, the system can reduce the amount of logs while acquiring logs performed by non-business programs with the client 10 used in a routine job as a log acquisition target.

(第2の実施形態)
なお、ホワイトリスト15に、実環境で取得したファイル操作イベントログにおけるログ種別1のログ(業務プログラムのログ)のうち、ユーザの操作に関わらないログ(ログ種別1−2のログ。第二のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図5参照)。 (Second Embodiment)
In the white list 15, a log of log type 1 (log of business program) in the file operation event log acquired in the real environment (log of log type 1-2. An execution program (execution program information) included in the log) may be extracted and set (see FIG. 5).

例えば、システムの管理者等は、まず、ログ種別1(業務プログラムのログ)をログ種別1−1のログ(ユーザの操作に関わるログ)とログ種別1−2(ユーザの操作に関わらないログ)とに分け、ログ種別2のログ(業務外プログラムのログ)をログ種別2−1(ユーザの操作に関わるログ)とログ種別2−2のログ(ユーザの操作に関わらないログ)とに分ける。そして、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図5参照)。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。   For example, a system administrator or the like first sets log type 1 (business program log) to log type 1-1 log (log related to user operation) and log type 1-2 (log not related to user operation). Log type 2 log (log of non-business program) is divided into log type 2-1 (log related to user operation) and log type 2-2 (log not related to user operation). Divide. Then, an execution program (execution program information) included in the log of the log type 1-2 (the log of the business program that is not related to the user operation) is extracted and set in the white list 15 (see FIG. 5). Also, the system administrator or the like sets the storage area of the file that is the target of I / O by the execution program in the white list 15.

なお、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)は、例えば、office(登録商標)プログラムがバックアップのために自動的に行うファイル作成のログ、ブラウザプログラムが画像等の一時保存用フォルダ内で行うファイル作成のログ、ウイルススキャンプログラムがファイルを解析するために行うファイル参照のログ等である。   Note that the log of log type 1-2 (logs of business programs that are not related to user operations) are, for example, file creation logs and browser programs that the office (registered trademark) program automatically performs for backup. Are a file creation log performed in a temporary storage folder such as an image, a file reference log performed by a virus scanning program to analyze the file, and the like.

クライアント10が上記のようにして設定されたホワイトリスト15を用いることで、例えば、クライアント10において業務外プログラムに関連するファイルを業務プログラムで操作した場合においても、当該操作に関するログをサーバ20へ出力することができる。一例を挙げると、クライアント10において業務プログラムを利用してマルウェアを複製、移動する操作をした場合や、マルウェアが生成したファイルを業務プログラムで複製、移動する操作をした場合においても当該操作に関するログをサーバ20へ出力することができる。これによりシステムは、サーバ20においてマルウェア等の業務外プログラムにより引き起こされた情報漏えい等について、その原因や影響を特定しやすくなる。   By using the white list 15 set as described above by the client 10, for example, even when a file related to a non-business program is operated by the business program in the client 10, a log related to the operation is output to the server 20. can do. For example, even if the client 10 is used to copy and move malware using a business program, or a file generated by malware is copied and moved using a business program, a log relating to the operation is also recorded. It can be output to the server 20. As a result, the system can easily identify the cause and influence of information leakage or the like caused by a non-business program such as malware in the server 20.

(第3の実施形態)
なお、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図6参照)。 (Third embodiment)
In the white list 15, the number of logs (number of appearances) in the log type 1-2 among the execution programs included in the log of the log type 1-2 (logs of business programs that are not related to user operations). Many execution programs (execution program information) may be extracted and set (see FIG. 6).

例えば、システムの管理者等は、ログ種別1−2(業務プログラムのログのうちユーザの操作に関わらないログ)のログにおけるログ数(登場数)が所定値以上の実行プログラムを抽出し、ホワイトリスト15に設定する。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。   For example, the system administrator or the like extracts an execution program in which the number of logs (number of appearances) in the log of type 1-2 (logs of business programs that are not related to user operations) is equal to or greater than a predetermined value. Set to list 15. Also, the system administrator or the like sets the storage area of the file that is the target of I / O by the execution program in the white list 15.

また、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い上位の実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図7参照)。   In addition, the number of logs (number of appearances) in the log type 1-2 among the execution programs included in the log of the log type 1-2 (logs of business programs that are not related to user operations) is included in the white list 15. Many high-order execution programs (execution program information) may be extracted and set (see FIG. 7).

例えば、システムの管理者等は、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)におけるログ数(登場数)が多い実行プログラムのうち上位所定数の実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する。つまり、システムの管理者等は、ログ種別1−2のログに含まれる実行プログラムごとに、当該ログにおける登場数を集計し、集計した登場数が多い順に実行プログラムをソートし、ソートしたときの順位の高さに応じて選択された実行プログラムをホワイトリスト15に設定する。また、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。   For example, the system administrator or the like may execute a predetermined number of upper-level execution programs among execution programs having a large number of logs (number of appearances) in log type 1-2 logs (logs of business programs not related to user operations). (Execution program information) is extracted and set in the white list 15. In other words, the system administrator, for each execution program included in the log of log type 1-2, totals the number of appearances in the log, sorts the execution programs in descending order of the total number of appearances, The execution program selected according to the high rank is set in the white list 15. In addition, the storage area of the file that is the target of I / O by the execution program is also set in the white list 15.

これによりシステムは、サーバ20においてマルウェア等の業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。   As a result, the system can reduce the amount of logs while acquiring a log of file operations performed by a non-business program such as malware in the server 20.

なお、第3の実施形態において、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラムがI/Oの対象とするファイルの記憶領域を設定することとしたが、これに限定されない。例えば、当該実行プログラムがI/Oの対象とするファイルの記憶領域のうち、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)における登場回数が所定値以上、または、登場回数が上位所定数の記憶領域をホワイトリスト15に設定してもよい。   In the third embodiment, among the execution programs included in the log of the log type 1-2 (the log of the business program that is not related to the user's operation) in the white list 15, the log type 1-2 Although the execution program having a large number of logs (appearance number) sets the storage area of the file targeted for I / O, the present invention is not limited to this. For example, the number of appearances in the log type 1-2 log (logs of business programs that are not related to the user's operation) in the storage area of the file targeted by the execution program is I / O or more, Alternatively, a storage area having a higher number of appearances may be set in the white list 15.

(第4の実施形態)
なお、図8に示すように、システム内にホワイトリスト設定装置30を設け、このホワイトリスト設定装置30によりクライアント10に第1の実施形態〜第3の実施形態で述べたホワイトリスト15を設定してもよい。このホワイトリスト設定装置30は、入出力部31と、制御部32と、記憶部33とを備える。入出力部31は、他の装置(例えば、クライアント10)とのデータ入出力を司るインタフェースである。例えば、入出力部31はクライアント10へホワイトリスト15の設定情報を出力する。 (Fourth embodiment)
As shown in FIG. 8, a white list setting device 30 is provided in the system, and the white list 15 described in the first to third embodiments is set in the client 10 by the white list setting device 30. May be. The white list setting device 30 includes an input / output unit 31, a control unit 32, and a storage unit 33. The input / output unit 31 is an interface that controls data input / output with other devices (for example, the client 10). For example, the input / output unit 31 outputs the setting information of the white list 15 to the client 10.

記憶部33は、実環境で取得したファイル操作イベントログ(ログ)を記憶する。例えば、記憶部33は、クライアント10の実行プログラム12により行われたファイル操作を示すファイル操作イベントログを記憶する。   The storage unit 33 stores a file operation event log (log) acquired in the real environment. For example, the storage unit 33 stores a file operation event log indicating a file operation performed by the execution program 12 of the client 10.

制御部32は、記憶部33に記憶されたログを分類し、分類されたログから実行プログラムを抽出することで、前記した第1の実施形態〜第3の実施形態のいずれかのホワイトリスト15を設定する。   The control unit 32 classifies the logs stored in the storage unit 33, and extracts the execution program from the classified logs, whereby the white list 15 according to any one of the first to third embodiments described above. Set.

このようにすることでホワイトリスト15を自動で設定することができる。   In this way, the white list 15 can be set automatically.

なお、ホワイトリスト設定装置30は、クライアント10やサーバ20と別箇の装置として説明したが、これに限定されない。例えば、ホワイトリスト設定装置30の機能をクライアント10に組み込んでもよいし、サーバ20に組み込んでもよい。   Although the white list setting device 30 has been described as a separate device from the client 10 and the server 20, the white list setting device 30 is not limited to this. For example, the function of the white list setting device 30 may be incorporated in the client 10 or the server 20.

(プログラム)
また、上記実施形態に係るシステムが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、システムと同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。 (program)
It is also possible to create and execute a program in which processing executed by the system according to the above-described embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed to execute the same processing as in the above embodiment. An example of a computer that executes a log management program that realizes the same function as the system will be described below.

図9は、ログ管理プログラムを実行するコンピュータを示す図である。図9に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   FIG. 9 is a diagram illustrating a computer that executes a log management program. As shown in FIG. 9, the computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図9に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した情報等は、例えばハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 9, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. The information described in the above embodiment is stored in, for example, the hard disk drive 1090 or the memory 1010.

また、ログ管理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したシステムが実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   Further, the log management program is stored in the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing each process executed by the system described in the above embodiment is stored in the hard disk drive 1090.

また、ログ管理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Further, data used for information processing by the log management program is stored in the hard disk drive 1090 as program data, for example. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the log management program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. May be issued. Alternatively, the program module 1093 and the program data 1094 related to the log management program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. May be read by the CPU 1020.

10 クライアント
11 データファイル
12 実行プログラム
13 監視ドライバ
14 エージェント
15 ホワイトリスト
20 サーバ
21 受信部
22 保存部
30 ホワイトリスト設定装置
31 入出力部
32 制御部
33 記憶部 DESCRIPTION OF SYMBOLS 10 Client 11 Data file 12 Execution program 13 Monitoring driver 14 Agent 15 White list 20 Server 21 Receiving part 22 Storage part 30 White list setting apparatus 31 Input / output part 32 Control part 33 Storage part

Claims (6)

定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力するログ管理方法であって、
前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とするログ管理方法。 This is a log management method that excludes and outputs logs related to file operations on terminals used in routine tasks, including execution programs set in a white list or a combination of execution programs and file storage areas. And
The execution program set in the white list is an execution program included in a first log which is a log associated with the operation of a program used in business among logs related to file operations of the terminal acquired from the actual environment. A log management method. 前記ホワイトリストに設定された実行プログラムは、
前記第一のログのうちユーザのファイル操作に関わらないログである第二のログに含まれる実行プログラムであることを特徴とする請求項1に記載のログ管理方法。 The execution program set in the white list is:
The log management method according to claim 1, wherein the log management method is an execution program included in a second log that is a log that is not related to a user's file operation among the first log. 前記ホワイトリストに設定された実行プログラムは、
前記第二のログに含まれる実行プログラムのうち、当該第二のログにおける登場数の多さに応じて選択された実行プログラムであることを特徴とする請求項2に記載のログ管理方法。 The execution program set in the white list is:
The log management method according to claim 2, wherein the execution program is selected according to the number of appearances in the second log among the execution programs included in the second log. 前記ホワイトリストに設定された実行プログラムとファイルの記憶領域との組み合わせは、
前記第二のログに含まれる実行プログラムが用いるファイルの記憶領域のうち、前記第二のログにおける登場数が所定値以上の記憶領域と、前記実行プログラムとの組み合わせであることを特徴とする請求項2に記載のログ管理方法。 The combination of the execution program set in the white list and the file storage area is as follows:
The storage program of a file used by an execution program included in the second log is a combination of a storage area in which the number of appearances in the second log is a predetermined value or more and the execution program. Item 3. The log management method according to Item 2. 前記ホワイトリストに設定された実行プログラムは、
前記第二のログに含まれる実行プログラムごとに、当該第二のログにおける登場数を集計し、集計した登場数が多い順に前記実行プログラムをソートし、ソート後の順位が所定値以上の実行プログラムであることを特徴とする請求項3に記載のログ管理方法。 The execution program set in the white list is:
For each execution program included in the second log, the number of appearances in the second log is totaled, the execution programs are sorted in descending order of the total number of appearances, and the ranking after the sorting is a predetermined value or more The log management method according to claim 3, wherein: 定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力するログ管理システムであって、
前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とするログ管理システム。
This is a log management system that excludes and outputs logs related to file operations on terminals used in routine tasks, including execution programs set in a white list or combinations of execution programs and file storage areas. And
The execution program set in the white list is an execution program included in a first log which is a log associated with the operation of a program used in business among logs related to file operations of the terminal acquired from the actual environment. A log management system characterized by that.
JP2015100922A 2015-05-18 2015-05-18 Log management method and log management system Active JP6386415B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015100922A JP6386415B2 (en) 2015-05-18 2015-05-18 Log management method and log management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015100922A JP6386415B2 (en) 2015-05-18 2015-05-18 Log management method and log management system

Publications (2)

Publication Number Publication Date
JP2016218606A true JP2016218606A (en) 2016-12-22
JP6386415B2 JP6386415B2 (en) 2018-09-05

Family

ID=57578414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015100922A Active JP6386415B2 (en) 2015-05-18 2015-05-18 Log management method and log management system

Country Status (1)

Country Link
JP (1) JP6386415B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163931A (en) * 2004-12-08 2006-06-22 Ntt Data Corp Log acquisition management system and method
JP2006276987A (en) * 2005-03-28 2006-10-12 Nomura Research Institute Ltd Url audit support system and url audit support program
JP2007280013A (en) * 2006-04-06 2007-10-25 Internatl Business Mach Corp <Ibm> Method and program for controlling communication by information processor
JP2007317130A (en) * 2006-05-29 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> Information processor and program
JP2011150490A (en) * 2010-01-20 2011-08-04 Ivex Kk Program, apparatus and method for file control
US20150082441A1 (en) * 2013-09-17 2015-03-19 Qualcomm Incorporated Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163931A (en) * 2004-12-08 2006-06-22 Ntt Data Corp Log acquisition management system and method
JP2006276987A (en) * 2005-03-28 2006-10-12 Nomura Research Institute Ltd Url audit support system and url audit support program
JP2007280013A (en) * 2006-04-06 2007-10-25 Internatl Business Mach Corp <Ibm> Method and program for controlling communication by information processor
JP2007317130A (en) * 2006-05-29 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> Information processor and program
JP2011150490A (en) * 2010-01-20 2011-08-04 Ivex Kk Program, apparatus and method for file control
US20150082441A1 (en) * 2013-09-17 2015-03-19 Qualcomm Incorporated Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis

Also Published As

Publication number Publication date
JP6386415B2 (en) 2018-09-05

Similar Documents

Publication Publication Date Title
Duan et al. Detective: Automatically identify and analyze malware processes in forensic scenarios via DLLs
CN103839003B (en) Malicious file detection method and device
US11356467B2 (en) Log analysis device, log analysis method, and log analysis program
JP6042541B2 (en) Security information management system, security information management method, and security information management program
US20180063171A1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
CN106997367B (en) Program file classification method, classification device and classification system
US10956664B2 (en) Automated form generation and analysis
JP6687761B2 (en) Coupling device, coupling method and coupling program
US9256519B2 (en) Using linked data to determine package quality
Nguyen et al. Detecting repackaged android applications using perceptual hashing
CN111183620B (en) Intrusion investigation
US20230342374A1 (en) Systems and methods for data indexing with user-side scripting
US9336025B2 (en) Systems and methods of analyzing a software component
JP5441043B2 (en) Program, information processing apparatus, and information processing method
Namanya et al. Evaluation of automated static analysis tools for malware detection in Portable Executable files
JP6454617B2 (en) Malware operating environment estimation method, apparatus and system thereof
Gregorio et al. Forensic analysis of Telegram messenger desktop on macOS
JP7031438B2 (en) Information processing equipment, control methods, and programs
Gregory Paul et al. A framework for dynamic malware analysis based on behavior artifacts
US9280369B1 (en) Systems and methods of analyzing a software component
JP6386415B2 (en) Log management method and log management system
CN106372508B (en) Malicious document processing method and device
US10157049B2 (en) Static analysis with input reduction
CA3144122A1 (en) Data verifying method, device and system
JP6740184B2 (en) Granting device, assigning method, and assigning program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180809

R150 Certificate of patent or registration of utility model

Ref document number: 6386415

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150